소개
이 문서에서는 Series 3 Defense Center(DC)용 HA(High Availability) 컨피그레이션에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
사용되는 구성 요소
이 문서의 정보는 소프트웨어 버전 5.3에서 소프트웨어 버전 5.4.1.6으로 실행되는 Firepower Defense Center Series 3 디바이스(DC1500,DC2000,DC3500,DC400 )를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
운영의 연속성을 보장하기 위해 고가용성 기능을 사용하면 예비 방어 센터를 지정하여 디바이스를 관리할 수 있습니다. Defense Center는 관리되는 디바이스로부터 이벤트 데이터 스트림을 유지하고 이러한 디바이스의 특정 컨피그레이션 요소를 유지 관리합니다.하나의 Defense Center에 장애가 발생하면 다른 Defense Center를 통해 중단 없이 네트워크를 모니터링할 수 있습니다.
고가용성 기능
- HA 동기화는 양방향 동기화입니다. 즉, 지정된 기본 및 보조 디바이스가 있더라도 디바이스 중 하나에 추가된 변경 사항은 다른 디바이스로 복제됩니다.
- HA는 디바이스를 직접 연결할 필요가 없습니다.스위치를 통해 HA 연결을 수행할 수 있지만 이 연결은 동일한 브로드캐스트 도메인에 있어야 합니다.
- HA 디바이스는 포트 8305에서 관리 IP를 통해 통신합니다.
- 디바이스의 HA 동기화 시간은 5분입니다. 즉, 5분마다 디바이스가 해당 피어와 컨피그레이션을 동기화하려고 시도합니다.동기화에 필요한 시간은 디바이스에 따라 지정되므로 동기화 시간을 10분으로 최대화할 수 있습니다.
- 특정 HA 피어에 대한 이미지 재화가 필요한 경우 HA를 해제한 다음 이미지를 다시 생성하는 것이 좋습니다.
- HA 클러스터를 업그레이드하려는 경우 HA를 중단할 필요가 없습니다.버전 5.3.0에서 5.4.0으로 업그레이드할 때 디바이스를 하나씩 업그레이드하고 업그레이드한 후 기본 Defense Center에서 동기화 작업을 수행합니다.
- 두 DC에 동일한 이름의 액세스 정책이 있으면 동일한 이름의 두 개의 액세스 제어 정책이 생성됩니다.한 정책은 로컬로 구성되고 다른 정책은 피어 DC에서 동기화됩니다.
참고:대상이 이미 동일한 이름의 정책이 있음을 나타내는 오류가 발생하므로 대상을 추가하거나 이 정책을 적용할 수 없습니다.
- 라이센스는 DC 피어 간에 동기화되지 않으므로 DC에 별도로 추가해야 합니다.
- 모든 관리되는 디바이스는 하나의 DC에만 추가됩니다.피어 DC 간에 컨피그레이션이 동기화됩니다.
- 관리되는 디바이스는 두 DC에 로그를 전송합니다.
- DC는 최신 작업을 동기화합니다.예를 들어, DC-1에서 사용자를 삭제하면 다른 피어 DC-2는 사용자 구성을 DC-1과 동기화하지 않습니다. 삭제 작업을 동기화하며 사용자는 DC-1 및 DC-2에서 모두 손실됩니다.
피어 간에 양방향으로 구성 공유
HA DC는 정책을 양방향으로 동기화합니다.이러한 컨피그레이션은 피어 간에 양방향으로 동기화됩니다.이 구성 바로 옆에 정의된 경로를 사용하여 이러한 컨피그레이션의 대부분을 볼 수도 있습니다.
ID 및 인증
- 외부 LDAP 컨피그레이션 - System(시스템) > Local(로컬) > User Management(사용자 관리) > External Authentication(외부 인증)으로 이동합니다.
- Users(내부 및 외부)- System(시스템) > Local(로컬) > User Management(사용자 관리) > Users(사용자)로 이동합니다.
- 사용자 지정 사용자 역할- System > Local > User Management > User Roles로 이동합니다.
보고서
- 보고서 템플리트 - 개요 > 보고 > 보고서 템플리트로 이동합니다.
구성 가능한 정책(Policies 섹션 아래)
- 액세스 제어 정책, 침입 정책, 파일 정책, SSL 정책, 네트워크 액세스 정책, 상관관계 정책 및 규칙, 규정준수 화이트리스트 및 트래픽 프로필.
- Intrusion Rules (Local and SRU)(침입 규칙(로컬 및 SRU)) - Policies(정책) > Intrusion(침입) > Rule Editor(규칙 편집기) > Local Rules(로컬 규칙)로 이동합니다.
- 네트워크 검색, 호스트 특성, 네트워크 검색 사용자 피드백(예: 참고 사항 및 호스트 중요도, 네트워크 맵에서 호스트, 애플리케이션 및 네트워크 삭제, 취약성 비활성화 또는 수정)
- 사용자 지정 애플리케이션 탐지기
- 사용자 정책의 LDAP 연결 - Policies(정책) > Users(사용자)로 이동합니다.
- 알림 - Policies(정책) > Actions(작업) > Alerts(알림)(Under Responses)(응답 중)로 이동합니다.
장치 정보
- NAT Rules(NAT 규칙) - Devices(디바이스) > NAT로 이동합니다.
- VPN Rules(VPN 규칙) - Devices(디바이스) > VPN으로 이동합니다.
- 이름과 그룹을 포함한 모든 장치 정보는 양방향으로 동기화됩니다.각 디바이스의 로그 스토리지 위치도 피어 간에 동기화됩니다 - Devices(디바이스) > Device Management(디바이스 관리)로 이동합니다.
- 사용자 지정 침입 규칙 분류
- 활성화된 사용자 지정 핑거프린트
- 시스템 정책 및 상태 정책
- 사용자 지정 대시보드,사용자 지정 워크플로 및 사용자 지정 테이블
- 조정, 스냅샷 및 보고서 설정 변경
- Sourcefire SRU(Rule Updates), GeoDB(Geolocation Database) 및 VDB(Vulnerability Database) 업데이트
DC 간에 컨피그레이션이 동기화되지 않음
- 사용자 정책의 사용자 에이전트 정보
- NMAP 스캔
- 응답 그룹
- 리미디에이션 모듈
- 교정 인스턴스
- Estreamer 및 Host Input Client
- 백업 프로필
- 일정
- 라이센스
- 업데이트
- 상태 알림
구성
고가용성 구성을 위한 전제 조건
- 장치는 소프트웨어 및 하드웨어 버전이 동일해야 합니다.
- 디바이스에 동일한 VDB가 설치되어 있어야 합니다.
- 디바이스에 동일한 SRU가 있어야 합니다.
- 두 Defense Center에 관리자 권한이 있는 admin이라는 사용자 계정이 있는지 확인합니다.이러한 계정은 동일한 비밀번호를 사용해야 합니다.
- 관리자 계정 외에 두 Defense Center에 동일한 사용자 이름을 가진 사용자 계정이 없는지 확인합니다.고가용성을 설정하기 전에 중복 사용자 계정 중 하나를 제거하거나 이름을 변경합니다.
- 두 디바이스에 동일한 이름의 액세스 제어 정책이 없는지 확인합니다.동일한 이름을 가진 두 액세스 제어 정책이 있는 경우 두 정책 모두 DC에 공존합니다.그러나 어떤 디바이스와도 연결할 수 없습니다.대상 디바이스를 추가한 후 이 정책을 저장하면 이미지에 표시된 오류 메시지와 함께 이 구성이 거부됩니다.
- 두 방어 센터 모두 인터넷에 액세스할 수 있어야 합니다.
고가용성 구성
다음은 고가용성을 구성하는 8단계입니다.
1단계. 소프트웨어 및 하드웨어 버전과 VDB 버전 및 규칙 업데이트 버전이 동일한지 확인합니다.
2단계. 디바이스를 보조 디바이스로 만들려면 이미지에 표시된 대로 System > Local > Registration으로 이동합니다.이 DC에 컨피그레이션이 없는지 확인합니다.
3단계. High Availability(고가용성) 탭 아래에서 Click here(여기를 클릭)를 클릭하여 이를 보조 방어 센터로 설정합니다(이미지 참조).
4단계. 3단계를 완료하면 이미지에 표시된 대로 페이지가 표시됩니다.기본 DC의 IP와 패스 키를 추가합니다. Network Address Translation 뒤에 있는 디바이스에 고유한 NAT ID를 추가해야 합니다.
5단계. IP 주소가 확인되면 Register(등록)를 클릭합니다.이미지에 표시된 것처럼 페이지가 표시됩니다.
즉, 보조 DC에 HA가 구성되어 있으며 기본 DC에서 구성해야 합니다.
6단계. 기본 DC로 구성하려는 디바이스에 로그인합니다.System(시스템) > Local(로컬) > Registration(등록)으로 이동합니다.
High Availability(고가용성) 탭 아래에서 Click here to add as the primary Defense Center(기본 Defense Center로 추가하려면 여기를 클릭)을 클릭합니다.
7단계. 6단계를 완료하면 다음과 같이 페이지에 표시됩니다.
보조 DC IP를 추가합니다.보조 DC를 구성하는 동안 제공된 것과 동일한 등록 키 및 NAT ID를 제공합니다.
8단계. IP의 세부 정보가 확인되면 Register(등록)를 클릭합니다. 등록이 완료되면 Success(성공) 페이지가 이미지에 표시된 것처럼 표시됩니다.
5~10분 후 HA의 컨피그레이션 및 동기화가 완료되었습니다.
HA 구성 및 동기화를 완료하는 데 약 5-10분 정도 소요됩니다.
다음을 확인합니다.
DC가 고가용성을 위해 올바르게 구성되었는지 확인하려면 단계별 구성을 수행하십시오.
1단계. 이미지에 표시된 대로 System(시스템) >Local(로컬) > Registration(등록)으로 이동합니다.
2단계. System(시스템) >Local(로컬) >Registration(등록)으로 이동합니다. 이미지에 표시된 대로 보조 디바이스에서 다음을 수행합니다.
문제 해결
이 섹션에서는 고가용성을 위한 기본적인 문제 해결 단계를 제공합니다.
- HA는 이 포트를 사용하여 정보와 하트비트를 동기화하므로 두 DC가 모두 TCP 포트 8305에서 수신 대기하는지 확인합니다.
- TCP 포트 8305가 네트워크 또는 중간 디바이스에서 차단되지 않았는지 확인합니다.
- 제거 또는 교체된 이전 피어 디바이스의 오래된 항목이 있는 경우 HA 생성이 실패합니다.EM_Peers 테이블은 이러한 피어 디바이스에 대한 자세한 정보를 제공합니다.
관련 정보